智慧校園信息安全立體化縱深防御體系的構建與應用*

南陽師范學院計算機科學與技術學院 張新剛 孫曉林 王保平 李賀 劉泉

智慧校園環境下信息安全面臨著新的威脅和挑戰。分析了智慧校園環境下若干典型的信息安全威脅，設計了智慧校園信息安全立體化縱深防御體系模型，分析了該模型各部分功能模塊。該模型在校園網的部署應用結果表明，能夠進一步提高智慧校園的信息安全水平，這對于智慧校園信息安全建設具有一定的借鑒意義和參考價值。

數字化賦能智慧校園建設，推動教學、科研、管理和數字化的深度融合，為學校各項業務工作的高效運行提供了充分的網絡資源保障，智慧校園建設應用進入了一個新的層次[1]。近年來我國高度重視信息安全建設，加快了在信息安全領域的立法進程，《網絡安全法》、《數據安全法》等一系列法律法規出臺，這對學校信息安全建設提出了更高的要求。智慧校園的各種業務應用在給廣大師生帶來便利的同時，智慧校園自身也面臨著多樣化的安全威脅和挑戰，如數據安全、APT攻擊等，因此亟需構建信息安全立體化縱深防御體系，通過部署實施來進一步提升信息安全防護水平，保障智慧校園各項業務應用的正常開展。

1 智慧校園信息安全若干典型威脅分析

智慧校園面臨著多樣化的信息安全風險，對學校各種業務信息系統的運行構成了巨大的威脅。特別是在疫情防控期間，傳統威脅和新型威脅疊加，隱私泄露、數據安全、DDoS攻擊、APT攻擊等頻發，對學校的智慧化應用造成了嚴重的威脅。下面就簡單列舉其中的幾種典型安全威脅進行分析。

1.1 數據安全風險加劇

大數據和云計算環境下，智慧校園中師生教學、科研、管理等網絡行為產生了海量數據，這些數據包括學習記錄、社交信息、搜索記錄、地理信息、身份信息等，這些信息一旦泄露，被不法攻擊者數據挖掘和關聯分析后，將不法獲取師生更多的重要隱私信息，師生有可能面臨精準信息營銷和網絡詐騙的風險，影響學校的安全穩定[2]。此外，新技術環境下新應用的推廣會帶來數據安全問題，如何避免新應用過度采集和使用師生的隱私信息也十分重要，如何確保數據安全的前提下合理共享利用數據是當前的努力方向。

1.2 高級可持續威脅攻擊

高級可持續威脅攻擊（Advanced Persistent Threat, 簡稱APT）一般是利用社會工程學、0Day漏洞等，采取復雜多樣化的滲透技術，對政府機構的核心資源、工業控制信息系統等進行大規模、有組織、持續性的破壞性攻擊。國家計算機網絡應急技術處理協調中心發布的《2020年中國互聯網網絡安全報告》（以下簡稱“安全報告”）顯示，APT組織多次運用供應鏈對我國的一些重要行業進行攻擊，特別是在疫情防控期間我國在線教育、遠程辦公急劇增多更是擴大了網絡暴露風險，擴大了APT的攻擊范圍。例如2020年3～7月,“響尾蛇”組織隱蔽控制我國某重點高校主機，持續竊取了多份文件，帶來了巨大的安全隱患[3]。

1.3 分布式拒絕服務攻擊

分布式拒絕服務攻擊（Distributed Denial of Service ，簡稱DDoS ）一般是利用某些網絡協議的漏洞，采用協同式、分布式攻擊方法，發動多個攻擊者針對某個攻擊目標實施攻擊。DDoS攻擊已成為互聯網上最常見且危害性較大的攻擊類型之一。常見的是綜合運用多種攻擊方式偽造IP源地址，瞬時大流量攻擊而使攻擊目標癱瘓而獲得某種利益，并且還呈現攻擊者向境外遷移的趨勢。

2 智慧校園信息安全立體化縱深防御體系模型構建

首先從安全威脅、安全保障和安全主體三個維度分析了智慧校園信息安全基本要素，為了實現立體化全周期動態化安全防護，提出了智慧校園信息安全立體化縱深防御體系模型，并分析了各功能模塊的功能。

2.1 智慧校園信息安全基本要素

智慧校園信息安全要素結構如圖1所示，主要由安全威脅、安全保障和安全主體構成。三者之間的關系是，安全主體是安全保障的目標和對象，安全威脅是對安全主體可能發生的威脅和攻擊，安全保障是為了保護安全主體，對抗安全威脅而采取的針對性保障措施[4]。

圖1 智慧校園信息安全要素結構Fig.1 Smart campus information security element structure

2.2 智慧校園信息安全整體框架設計

智慧校園信息安全整體框架如圖2所示，該架構主要由信息安全技術防護體系、信息安全管理體系和信息安全保障體系、網絡基礎設施、網絡信息資產等部分組成。該框架的各功能模塊情況如下：信息安全管理體系主要是為了提高信息安全綜合管理能力和水平，主要包括信息安全責任落實、信息資產管理、信息安全風險管理等。信息安全技術防護體系側重于運用技術手段做好信息安全的頂層設計，做好安全區域和安全層次劃分，構建信息安全綜合管理中心，實現縱深安全防御，包括風險評估、安全審計、容災備份等。信息安全保障體系用于做好信息安全的基礎保障工作，主要包括組織機構、宣傳培訓等。網絡基礎設施是智慧校園信息安全運行的基礎和載體，主要包括校園有線網、無線網、物聯網、私有云平臺等。網絡信息資產是智慧校園信息安全的重要組成部分。按照要求做好網絡信息資產測繪，全面準確梳理網絡信息資產，做好網絡信息資產的全鏈條全周期管理[5]。網絡使用主體包括校內用戶和校外用戶，應采用合理的訪問控制策略分配不同的訪問操作權限。

圖2 智慧校園信息安全整體框架Fig.2 Overall framework of smart campus information security

2.3 智慧校園信息安全立體化縱深防御體系模型

根據《數據安全法》等相關法律法規，為了更好地應對智慧校園的各種信息安全威脅，保障智慧校園各項業務系統的安全可靠穩定運行，實現智慧校園信息安全的立體化動態化防御，設計了智慧校園信息安全立體化縱深防御體系模型如圖3所示。

該模型主要考慮了大數據云計算等環境下智慧校園信息安全防御的關鍵因素，構建了以智慧校園信息安全立體化全周期防護體系為核心的縱深防御系統模型，包括智慧校園信息安全立體化全周期防護體系，以及數據安全防護體系、應急響應處置體系、安全態勢感知體系、政策法規標準規范體系和安全力量協同體系，各體系功能模塊之間相互協同。該模型的各功能模塊分析如下：

智慧校園信息安全立體化全周期防護體系呈現了智慧校園層次化、全生命周期的信息安全狀況。從全生命周期來看，智慧校園信息安全分為風險評估、動態防護、實時監測等六個流程。從邏輯結構上來看，智慧校園信息安全自上而下分別為內容安全、數據安全、系統安全、設備安全等四個層次。內容安全層主要包括網絡輿情、信息泄露、有害信息等[6]。數據安全主要包括數據在采集、存儲等全過程的一系列安全問題，包括情報竊取、密碼破解等問題。近年來數據安全事件頻發，社會危害嚴重。系統安全層主要指信息系統面臨的安全挑戰和威脅，包括黑客攻擊、軟件故障等問題。設備安全層指校園網網絡設備的安全問題，包括電磁干擾、設備故障等問題。

數據安全防護體系是智慧校園信息安全體系中的重要組成部分，目前的安全體系正在逐步從以傳統的系統安全、網絡安全為核心轉變為以數據安全為核心的防護體系。當前數據安全防護工作還面臨一些嚴峻挑戰，例如教育系統數據分類和分級保護標準不明確，數據利用的邊界模糊等。應急響應處置體系已成為信息安全防護中的最后一道屏障和防線。它主要通過監控、分析、研判等方式，有效應對智慧校園各種可能發生或已經發生的信息安全突發事件，力爭將造成的破壞程度和影響范圍降到最低水平。安全態勢感知體系是網絡安全主動防御的重要基礎，它是在網絡防御視角下，采用數據挖掘和推演等方法，全面、準確、實時地感知理解當前智慧校園的安全態勢，及時發現智慧校園的網絡安全攻擊，預測未來的網絡安全趨勢，為網絡安全防御提供輔助決策支持[7]。政策法規標準規范體系是智慧校園信息安全體系建設的基本遵循。近年來我國加快了在網絡信息安全領域的立法進程，一系列法律法規標準規范密集出臺。安全力量協同體系主要是為了形成集成化的信息安全多要素保障力量，學校信息化部門協同上級教育信息化主管部門、電信運營商、第三方技術公司、公安機關等相關部門，構建業務聯動、資源支撐和數據共享的暢通聯動機制，有效協同應急處置。

3 應用部署

將上述設計的智慧校園信息安全立體化縱深防御體系模型在校園網中進行了部署應用，加強外部防御、內部控制、態勢感知和應急處置，重新劃分安全域，實施7×24小時實時監測防護。對智慧校園的業務應用系統進行資產測繪和梳理，全面篩查清理僵尸網站，對訪問控制等各種系統進行測評加固。部署應用后智慧校園的整體安全水平得到了進一步提升。

智慧校園部署應用的網絡安全態勢感知系統效果如圖4所示。該系統能夠實時監控智慧校園風險態勢和最近30天的風險趨勢，通過可視化展示系統可以直觀了解智慧校園整體安全態勢和當前系統管理的資產數量、脆弱性數量和威脅告警數量等。

圖4 智慧校園網絡安全態勢可視化展示圖Fig.4 Visual display of smart campus network security situation

智慧校園全部業務資產風險態勢情況如圖5所示，從該圖中可以直觀展示全局風險態勢指數、業務資產數量、校園網絡拓撲結構、待處置告警級別分布情況、告警歷史趨勢等，從宏觀上感知智慧校園全局業務資產的風險態勢和趨勢發展情況。

圖5 全部業務資產風險態勢圖Fig.5 Risk situation chart of all business assets

重要資產持續監測風險態勢情況如圖6所示，從該圖中可以直觀展示校園網中的Web攻擊數量、攻擊者IP數量、受害域名數量、攻擊類型等分別情況。

圖6 重要資產持續監測風險態勢圖Fig.6 Continuous monitoring of risk situation of important assets

4 結語

近年來我國高度重視信息安全建設，加快了在信息安全領域的立法進程，《網絡安全法》、《數據安全法》、《個人信息保護法》等一系列法律法規相繼出臺，大數據、云計算和人工智能環境下智慧校園信息安全面臨著新的威脅和挑戰。首先分析了智慧校園環境下數據安全風險加劇、分布式拒絕服務攻擊等若干典型的信息安全威脅，設計分析了智慧校園信息安全立體化縱深防御體系模型，實現了信息安全防御的全周期、立體化和動態化，該模型對于提高智慧校園信息安全水平具有一定的借鑒價值和參考意義。該模型在智慧校園的應用部署結果表明，能夠進一步提高智慧校園信息安全的防御水平。今后，隨著人工智能、區塊鏈等新技術新應用的發展，智慧校園面臨著更加復雜多樣化的信息安全威脅，這需要我們不斷實踐探索中逐步完善解決。